3DEXPERIENCE Platform Cloud Sécurité des données de conception

Article de Dassault Systèmes mis à jour le 16 juin 2020

Article

L'intérêt toujours croissant pour les logiciels en tant que service (SaaS) a nécessité un nouveau paradigme pour les exigences de sécurité. Les informations des clients étant transférées, traitées et stockées en dehors de leur environnement habituel, il convient de mettre l'accent sur la sécurité du cloud pour les données de conception sur la plate-forme 3DEXPERIENCE.

3DEXPERIENCE Cloud Security de Dassault Systèmes

Sécurité du cloud 3DEXPERIENCE

Dassault Systèmes a placé la sécurité au cœur du développement et du déploiement de sa plate-forme d'expérience commerciale en ligne afin d'assurer plusieurs couches de sécurité bien contrôlées, avec un accent particulier sur la sécurité en profondeur. L'aperçu suivant a pour but de présenter la méthodologie que nous suivons pour sécuriser leur actif le plus précieux : les données de leurs clients. Il s'agit d'un document de haut niveau décrivant les méthodologies et les techniques utilisées pour atténuer les risques de sécurité.

La sécurité du cloud en profondeur

Le concept de "Sécurité en profondeur" chez Dassault Systèmes repose sur le fait que plusieurs mécanismes indépendants sont mis en place afin d'atténuer tout risque unique. Un échec improbable dans le blocage d'une action malveillante ne constituera donc pas une menace mais sera ultérieurement bloqué par un autre mécanisme. Les processus de sécurité de leur plate-forme 3DEXPERIENCE en ligne suivent les normes et les meilleures pratiques du secteur, lorsque cela est possible et applicable, en mettant particulièrement l'accent sur :

  • Les normes ISO 2700x, et en particulier le Guide d'implémentation ISO 27002
  • Série 800 du NIST
  • Méthodologies OWASP
  • Cadre CobIT

Sécurité sur Internet

Plusieurs couches de sécurité sont en place pour garantir que seules les activités et le trafic prévus sont effectivement traités par la plateforme en ligne. Tout le trafic Internet entrant est filtré par des mécanismes indépendants qui garantissent la fiabilité et l'absence de vulnérabilité en cascade. En outre, l'environnement d'hébergement à l'échelle de l'internet est résistant aux attaques par déni de service distribué. Des canaux de communication sécurisés entre l'environnement d'hébergement et les locaux du client sont utilisés, le cas échéant, pour garantir la confidentialité et l'intégrité des données transférées.

Sécurité au niveau des applications

La couche applicative de la solution en ligne de Dassault Systèmes est soumise à un processus très strict de conception et de révision de la sécurité. Les processus de développement et de vérification de Dassault Systèmes sont conçus de manière à intégrer la sensibilisation et les contrôles de sécurité. Le code est aligné sur les meilleures pratiques et recommandations du secteur et fait l'objet d'une double révision par des pairs (en interne et en externe). Une attention particulière est accordée aux principales menaces de l'OWASP. Un exercice cyclique de test de pénétration est effectué sur l'écosystème applicatif afin d'ajouter un contrôle de protection supplémentaire qui complète le paradigme du codage sécurisé. Enfin, un processus continu de scans est mis en place pour surveiller en permanence les différents modules de l'application.

Sécurité en nuage

Dans le nuage de Dassault Systèmes, la sécurité de l'environnement du client par rapport aux autres éléments du nuage (sécurité dans le nuage) est à nouveau assurée par des couches de solutions indépendantes. Au-delà de la restriction du trafic (pare-feu), chaque client travaille sur des instances indépendantes des autres systèmes. Une telle approche protège de l'accès aux données entre clients ; ce cloisonnement est également codé en dur au niveau de l'application.

La structure de l'environnement en nuage qui assure la séparation ci-dessus atténue également les risques classiques de reconnaissance et d'attaque du réseau.
de reconnaissance et d'attaque du réseau. En particulier, le reniflage et l'usurpation d'adresse IP ne sont pas possibles par conception.

Sécurité des systèmes virtuels

Les systèmes virtualisés sur lesquels les données et les applications sont hébergées sont examinés de près du point de vue de la sécurité avant d'être mis en production. Le cycle de vie de la sécurité appliqué à ces systèmes est très strict et maintient un haut niveau de sécurité après la mise en production.

Au-delà des activités classiques de maintenance de la sécurité (patching des systèmes, revue des services), Dassault Systèmes procède régulièrement à des scénarios d'attaque qui testent l'intégrité d'un système modèle, ainsi que la réactivité des équipes opérationnelles. Le caractère cyclique, mais aléatoire, de ces tests assure une réunification des résultats (analyse causale).

Sécurité physique

  • Les données des clients (ou IP) sont stockées et traitées dans des centres de données anonymes dont l'accès est strictement limité au personnel autorisé.
  • Tous les entrepreneurs et les visiteurs sont escortés à tout moment.
  • Tous les accès physiques aux centres de données sont enregistrés et audités.
  • Le stockage physique est également sécurisé par des disques redondants, une reprise après sinistre et des procédures de sauvegarde et de restauration.

Tests et examens de sécurité

La sécurité de l'information est intégrée dans le processus de développement des solutions de cloud computing de Dassault Systèmes pour ses clients. C'est le résultat d'un effort commun entrepris par les équipes de R&D et de sécurité de l'information qui travaillent en étroite collaboration pour identifier et traiter tous les problèmes potentiels.

En plus de ces efforts proactifs, des tests indépendants sont effectués au moins une fois par an et à chaque changement majeur de la plate-forme. Ces tests mettent à l'épreuve les différentes couches de sécurité et tentent de pénétrer dans l'environnement à la manière d'un pirate informatique. Toutes ces activités sont soigneusement planifiées et exécutées dans le cadre de leur cycle global de conception, de mise en œuvre et de validation. En plus des mécanismes de sécurité de la plateforme, un contrôle d'accès complet basé sur les rôles est mis en œuvre dans l'application, permettant au propriétaire des données de définir des droits d'accès granulaires.

Enfin, l'accès à l'application n'est possible qu'après l'obtention d'une licence correcte, ce qui minimise la surface d'attaque possible. Les mécanismes basés sur le protocole TLS garantissent une connectivité sûre, en éliminant le risque d'écoute clandestine ou d'attaques de type "Man-in-the-Middle".

Conclusion

Comme vous l'avez lu, le concept de sécurité en profondeur est conçu autour de plusieurs mécanismes indépendants permettant d'atténuer tout risque individuel sur la plate-forme 3DEXPERIENCE de Dassault Systèmes lorsqu'elle est déployée sur le cloud. Les clients peuvent avoir confiance dans l'utilisation d'une plateforme SaaS car nous avons placé la sécurité au cœur d'une plateforme d'expérience commerciale en ligne.

Dassault Systèmes

Dassault Systèmes fournit aux entreprises et aux particuliers des univers virtuels pour imaginer des innovations durables pour aujourd'hui et demain.